この2年の間に米国、英国、ロシアの銀行から合計数百万ドルを盗んだ可能性がある新しいハッカーグループ「MoneyTaker」の存在が報告されている。
MoneyTakerは世界の20以上の金融機関、法律事務所、ソフトウェアベンダーを攻撃し、不正なトランザクションを行ない、これらの企業から盗んだ金をマネーミュール(犯罪とは知らずに不正資金の送金に加担させられている者)を使って引き出していた。貴重な企業の情報や機密情報も盗んでいたという。
MoneyTakerの存在を報告したGroup-IBによると、当初はAWS CBR(ロシアの銀行間システム)、SWIFTなどのクレジットカードの処理システムを狙っていたという。米国で16件、英国で1件、ロシアで3件の被害に関連しているとみられている。
最初の攻撃は2016年にさかのぼる。MoneyTakerはFirst Dataのネットワークオペレーター用ポータルを攻撃して、米国の銀行から金銭を盗んだ。その後、カリフォルニア州、ユタ州、オクラホマ州、コロラド州、イリノイ州、ミズーリ州、サウスカロライナ州、ノースカロライナ州、ヴァージニア州、フロリダ州の企業が狙われた。
Group-IBは、MoneyTakerが攻撃に利用したツール、インフラ、各トランザクション毎にユニークな口座を使うという特徴的な現金引き出しスキームなどの情報を基に、彼らの攻撃の”点”を線にした。
このハッキンググループは、ロシアで開催されたサイバーセキュリティカンファレンス「ZeroNight 2016」でデモされたコードからコンパイルしたソフトウェアを利用した。また、銀行向けのトロイの木馬であるCitadelやKronosも一部で利用しており、後者はPoSマルウェアの配布に使われた。スクリーンショットやキーロガーの機能を持つアプリケーションも利用していたという。
興味深いのがMoneyTakerで使われたモジューラーソフトウェア「MoneyTaker v5.0」だ。支払い指示を検索し、それを修正して支払い情報を置き換え、痕跡を消すというものだ。
「置き換えが成功した理由として、その段階で支払い指示にまだ署名がないことがある。署名は、支払いの詳細が置き換えられた後に発生している」とGroup-IBの研究者は記している。
Group-IBによると、成功した攻撃による被害金額の平均は50万ドル(約5700万円)だという。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。